Vulnerabilitat crítica en tema Alone de WordPress

Recentment s’ha descobert que el tema Alone – Charity Multipurpose Non-profit WordPress per a WordPress sense ànims de lucre i caritatiu és vulnerable. Esta comunicació té com a objectiu informar, analitzar l’impacte i proveir recomanacions concretes per a mitigar el risc.

La vulnerabilitat CVE‑2025‑5394, anunciada per INCIBE‑CERT el 15 de juliol de 2025, afecta el tema Alone per a WordPress en totes les seues versions fins a la 7.8.3, inclusivament. La fallada residix en la funció alone_import_pack_install_plugin() que exposa un endpoint AJAX sense verificació de permisos, la qual cosa permet a atacants no autenticats pujar arxius ZIP amb plug-in maliciosos (webshells) i executar codi remot (RCE) amb control total del lloc.

Segons informes d’HispaSec, esta fallada està sent explotada activament, amb multitud d’intents de càrrega de portes de darrere (backdoors) en llocs vulnerables. S’estima que el tema compta amb prop de 10.000 vendes, sent usat principalment per organitzacions sense ànim de lucre i fundacions, la qual cosa amplifica l’impacte potencial.

La fallada és extremadament greu: el CVSS v3.1 assigna una puntuació base de 9.80 (Crítica/Control total). L’explotació no requerix autenticació, no necessita interacció de l’usuari i és d’accés directe des de la xarxa.

Recursos afectats

• • Tema WordPress Alone – Charity Multipurpose Non‑profit, versions fins a la 7.8.3,
  • Llocs WordPress que utilitzen este tema en entorns públics exposats a Internet.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. 1. Actualitzar immediatamentel tema Alone a la versió 8.5 o superior, que corregix la vulnerabilitat.
   2. Bloquejar temporalmentl’endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin), si no és possible, actualitzar immediatament; pot implementar-se mitjançant WAF o IDS/.
   3. Analitzar registres i activitat inusual, buscant càrregues de connectors (plug–in), arxius ZIP no autoritzats o creació d’usuaris administratius desconeguts.
   4. Canviar credencials crítiques, incloent-hi comptes d’administrador WordPress, FTP, allotjament (hosting) i base de dades, si se sospita compromís.
   5. Restaurar des de còpies netessi es detecten backdoors o accessos ocults i desactivar arxius sospitosos.
   6. Reforç general de seguretat: mantín WordPress, temes i plug-in sempre actualitzats; utilitza autenticació de dos factors; aplica permisos mínims; i monitora activitat amb plug-in com ara Wordfence o Sucuri b.

Referències

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
• https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments